全网首发！Nacos Derby Sql注入RCE 图形化一键利用工具（支持win/linux漏洞环境，自动寻址路径）

文章预览

漏洞描述 Nacos derby存在远程代码执行漏洞，由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，从而远程加载恶意构造的jar包，最终导致任意代码执行。 影响版本 nacos 2 .3 .2 nacos 2 .4 .0 网络测绘 app = "NACOS" 漏洞Poc Nacos Derby Sql注入RCE（常规出网） Nacos Derby Sql注入RCE（不出网利用、加入CVE-2021-29442鉴权的绕过） 工具说明    由于该漏洞需要通过条件竞争利用，遂开发自动化一键利用工具。目前工具可实现漏洞检测、命令执行、打入内存马（不出网环境漏洞利用需要绝对路径，工具已支持自动获取）。 工具获取 扫码加入工具圈获取。 🍻 🍻 🍻 🍻 🍻 🍻 有需要学历提升、蜂蜜、安全证书的可以加好友私聊 你现在的付出，都会成为未来的财富。 生活不是等待风暴过去，而是学会在雨中跳舞。 失 ………………………………